Talvolta potrebbe risultare utile verificare se il PC era acceso in un determinato momento ed eventualmente stabilire quali attività sono state svolte.
Senza troppi sforzi, infatti, utilizzando il Visualizzatore eventi di Windows, è possibile capire se il sistema era acceso in nostra assenza.
Per accedere velocemente al Visualizzatore eventi in qualunque versione di Windows (Windows 7, Windows 8.1 e Windows 10), è sufficiente premere la combinazione di tasti Windows+R
quindi digitare eventvwr.msc
e premere Invio.
Nella colonna di sinistra, si dovrà fare doppio clic sulla voce Registri di Windows quindi selezionare Sistema.
Dopo alcuni secondi di attesa, Windows provvederà a mostrare la lista di tutti gli eventi di sistema rilevati durante il funzionamento del sistema operativo.
Di solito, il registro degli eventi di sistema è lunghissimo e non è affatto semplice estrarre le informazioni d’interesse.
Cliccando sul comando Filtro registro corrente, posto nella colonna di destra (riquadro Azioni), si potranno estrapolare soltanto gli eventi legati all’accensione e allo spegnimento del PC.
In corrispondenza del campo evidenziato in figura con una freccia rossa, bisognerà digitare gli ID 6005,6006
.
Nel campo Utente, poi, è indispensabile accertarsi che appaia l’indicazione Tutti gli utenti. In caso contrario, non verranno estratti gli eventi legati all’accensione del sistema e al login effettuato usando altri account utente.
L’ID 6005 tiene traccia degli eventi di logon mentre l’ID 6006 del logout quindi, di fatto, della chiusura della sessione di lavoro.
Utilizzando anche l’ID 6013 nell’apposita casella, sarà possibile ottenere l’informazione relativa al tempo di utilizzo complessivo della macchina:
Cliccando su Crea visualizzazione personalizzata (riquadro Azioni) è possibile generare una “vista filtrata” sul database degli eventi raccolti da Windows.
In questo modo, sarà possibile stabilire se il PC è stato usato in un certo momento senza dover reimpostare manualmente il filtro.
Ci risulta però che riaccendendo il sistema dopo l’ibernazione, l’attuale sessione di lavoro venga considerata come una prosecuzione di quella precedente.
Ciò è confermato anche utilizzando l’ottimo utilità Nirsoft TurnedOnTimesView che avevamo presentato nell’articolo Come monitorare un PC senza installare nulla al paragrafo Controllare per quanto tempo è stato usato il PC.
Lo si vede benissimo nell’immagine, che riporta un tempo di utilizzo del PC pari a oltre 4 giorni.
In queste situazioni, per stabilire se il PC era acceso in un determinato momento e, soprattutto, stabilire quali programmi e quali file sono stati aperti, è possibile applicare i suggerimenti riportati nell’articolo, citato in precedenza, Come monitorare un PC senza installare nulla.